Formålet med faktaarket er å sikre konfidensialitet, integritet, tilgjengelighet og kvalitet når testdata brukes i utvikling og test av IT-systemer med helse- og personopplysninger.
Tema for faktaarket
Dette faktaarket omhandler testing og testdata. Formålet med faktaarket er å sikre at informasjonssikkerhet og personvern blir ivaretatt ved testing i forbindelse med utvikling og endring av systemer som behandler helse- og personopplysninger. Faktaarket er avgrenset til testing i forbindelse med utvikling av nye systemer og endring av eksisterende systemer. Faktaarket omhandler ikke sikkerhetstesting i produksjonsmiljøet, jf. Normen, Forholdsmessighet ved valg av tiltak
Dette faktaarket er spesielt relevant for
Målgruppen for faktaarket er er virksomheter som behandler helse- og personopplysninger. Faktaarket vil særlig være relevant for personell som har fått delegert det daglige ansvaret for at informasjonssikkerhet og personvern ivaretas ved utførelser av tester. Dette kan for eksempel være en IKT-ansvarlig og avdelingsleder hvor testingen gjennomføres.
Krav i Normen
Faktaarket gjelder for følgende kapitler i Normen:
Relevante lov- og forskriftsbestemmelser, standarder og andre rammeverk
- personvernforordningen Artikkel 5. Prinsipper for behandling av personopplysninger (lovdata.no)
- personvernforordningen Artikkel 6. Behandlingens lovlighet (lovdata.no)
- personvernforordningen Artikkel 9. Behandling av særlige kategorier av personopplysninger (lovdata.no)
- personvernforordningen Artikkel 28. Databehandler (lovdata.no)
- personvernforordningen Artikkel 35. Vurdering av personvernkonsekvenser (lovdata.no)
- personvernforordningen Artikkel 32. Sikkerhet ved behandlingen (lovdata.no)
- pasientjournalloven § 22. Informasjonssikkerhet (lovdata.no)
- helseregisterloven § 21. Informasjonssikkerhet (lovdata.no)
- personvernforordningen kapittel III Den registrertes rettigheter, Artikkel 12-22 (lovdata.no)
- NSMs grunnprinsipper for IKT-sikkerhet, prinsipp 2.1.6 og 2.1.7 (nsm.no)
- hjemmekontor og annet fjernarbeid (faktaark 29)
- håndtering av lagringsmedia (faktaark 34)
- personvernprinsippene (faktaark 57)
- veileder for fjernaksess mellom virksomhet og leverandør
- veileder i bruk av skytjenester til behandling av helse og personopplysninger
- veileder for rettigheter ved behandling av helse og personopplysninger
